T1612: Создание образа на узле
Злоумышленники могут создать образ контейнера непосредственно на узле, чтобы обойти защиту от получения вредоносных образов из общедоступных реестров. Они могут удаленно отправить в Docker API запрос build
,включающий файл Dockerfile, которые извлекает стандартный базовый образ, например alpine, из публичного или локального реестра, и создает на его основе нужный злоумышленникам образ.
Злоумышленники могут использовать команду build
API для создания на узле образа с вредоносным ПО, загруженным с их командного сервера, а затем развернуть контейнер на основе этого образа. Если базовый образ извлечен из общедоступного реестра, средства защиты, скорее всего, не определят его как вредоносный, поскольку это стандартный образ. Если базовый образ уже хранится в локальном реестре, его извлечение считается еще менее подозрительным, так как он уже находится в среде.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты «docker build» или «kubectl build»
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0007 | Источник и компонент данных | Образ: Создание образа | Описание | Отслеживайте неожиданные запросы к демону Docker на сборку образов Docker на узлах рабочей среды. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте сетевой трафик, связанный с запросами и (или) загрузкой образов контейнеров, особенно тех, которые могут быть нелегитимными или заведомо вредоносными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте сетевые подключения к необычным IP-адресам, к которым ранее не было подключений из рабочей среды, — это может указывать на загрузку вредоносного кода. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте сетевые подключения к необычным IP-адресам, к которым ранее не было подключений из рабочей среды, — это может указывать на загрузку вредоносного кода. |
---|
Меры противодействия
ID | M1035 | Название | Ограничение доступа к ресурсам по сети | Описание | Ограничьте взаимодействие со службой контейнера локальными сокетами Unix или удаленным доступом через SSH. Требуйте безопасный доступ к порту для связи с API по TLS, отключив неаутентифицированный доступ к Docker API на порту 2375. Вместо этого общайтесь с Docker API по протоколу TLS на порту 2376. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы контейнеры не запускались по умолчанию от имени root. В средах Kubernetes следует определить стандарты безопасности модулей, которые не позволят модулям запускать контейнеры с привилегиями. |
---|
ID | M1047 | Название | Аудит | Описание | Проводите аудит развернутых в среде образов на предмет отсутствия в них вредоносных компонентов. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам. |
---|